In seinem Beschluss vom 07.10.2025 (Az.: VI ZR 297/24) hat der Bundesgerichtshof (BGH) klargestellt, dass Arbeitnehmer grundsätzlich keine Verantwortlichen im Sinne der DSGVO sind.

Bedeutung des BGH-Beschlusses

Die Einordnung als Verantwortlicher ist im Datenschutzrecht zentral, weil sie bestimmt, wer für die Verarbeitung personenbezogener Daten rechtlich verantwortlich ist.

Der Verantwortliche trägt die Hauptverantwortung für die Einhaltung der DSGVO, insbesondere im Hinblick auf Informationspflichten, Betroffenenrechte und Sicherheitsmaßnahmen.

Zudem haftet primär der Verantwortliche bei Datenschutzverstößen gegenüber Betroffenen und Aufsichtsbehörden.

Eine Definition des Verantwortlichen findet sich in Art. 4 Nr. 7 DSGVO:

Ein „Verantwortlicher“ ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.

Auswirkungen hat das für Unternehmen bspw., wenn ein Beschäftigter einen Datenschutzverstoß begangen hat. Fraglich ist dann, ob dieser Verstoß einen datenschutzrechtlichen Verstoß des Arbeitgebers darstellt.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat erst im März dieses Jahres ein Bußgeld in Höhe von 3.500 Euro gegen einen Polizeibeamten erlassen, weil dieser ohne dienstlichen Anlass eine unrechtmäßige Abfrage im Melderegister mit den Daten einer zuvor im Rahmen einer Verkehrskontrolle angetroffenen Frau durchführte.

Im Rahmen eines solchen „Mitarbeiterexzesses“ handelt der Beschäftigte der Polizei im Falle eines rechtswidrigen Datenabrufs in polizeilichen Datensystemen zu privaten Zwecken in eigenständiger Verantwortlichkeit.

Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte in diesem Jahr bereits sechs Bußgelder gegen Beschäftigte der Polizei und anderer Behörden, aufgrund von Abfragen über Privatpersonen ohne dienstliche Veranlassung in behördlichen Datenbanken.

Mehr zum Thema Mitarbeiterexzesse und Meldepflichten bei Datenpannen lesen Sie in diesem Beitrag.

Klarstellung des BGH

Der BGH hat in seinem Beschluss nun klargestellt, dass es nicht den Regelfall darstellt, einen Arbeitnehmer als „Verantwortlichen“ im Sinne des Art. 4 Nr. 7 DSGVO anzusehen.

Vielmehr gilt ein Beschäftigter typischerweise als „unterstellte Person“ im Sinne von Art. 29 DSGVO.

| | | , , , , , , , , , , ,